В прошлом посте мы рассказали о том, как голландская разведслужба AVID помогла американцам осуществить атаку Stuxnet на иранский завод по обогащению урана. Сегодняшний текст о том, как голландцы стали свидетелями эпической кибербитвы между правительственными хакерами США и России.
Лето 2014 года. Хакер из голландского разведывательного агентства AIVD проникает в компьютерную сеть здания университета рядом с Красной площадью в Москве, не обращая внимания на то, какие это может иметь последствия. Год спустя он и его коллеги стали свидетелями того, как российские хакеры начали атаку на Демократическую партию в Соединенных Штатах. Во время атаки хакеры из AIVD были внутри компьютерной сети печально известной российской хакерской группы Cozy Bear. И без их ведома наблюдали за всем, что там происходило.
Таким образом, AIVD стали свидетелями того, как российские хакеры проникли в электронную почту лидеров Демократической партии и получили доступ к тысячам электронных писем и документов. Голландцы неоднократно предупреждали своих американских коллег, что русские читают почту конгрессменов. И все же пройдут месяцы, прежде чем в США поймут каков масштаб проблемы: этими взломами русские вмешались в американские выборы. И хакеры из AIVD видели, как это происходило на их глазах.
Шесть американских и голландских источников, которые знакомы с материалом, но захотели остаться анонимными, заявили именно наличие доступа голландцев к внутренней сети хакер группы Cosy Bear предоставляет решающее доказательство участия России во взломе серверов Демократической партии.
«Хайли лайкли»
После избрания Трампа в мае 2017 года это расследование было передано специальному прокурору Роберту Мюллеру. В то время как расследование стремилось раскрыть контакты между президентской кампанией Трампа и российским правительством, главная цель состояла также и в том, чтобы выявить факты вмешательства России в выборы. Попытка подорвать суверенные демократические процессы привела к тому, что напряженность в отношениях между двумя сверхдержавами поднялась до новых высот, вызвав ряд дипломатических актов мести.
Три американских спецслужбы с «высокой уверенностью» заявляют, что именно Кремль стоял за нападением на Демократическую партию. Эта уверенность, по словам источников, основывается на том, что хакеры из AIVD в течение нескольких лет имели удаленный доступ к одному из офисов в центре Москвы, откуда производились атаки. Сам факт наличия такого бэкдора настолько исключителен, что директора ведущих американских спецслужб не поверили своему счастью, когда голландцы предоставили им технические доказательства нападения на Демократическую партию. И они быстро смекнули, что те знают намного, намного больше.
«Уютный медведь»
В некотором роде это было везением, что хакерам из AIVD удалось получить такой ценный доступ в 2014 году. Команда голландцев использовала так называемую CNA (Computer Network Attack) Этим хакерам разрешено выполнять любые наступательные действия: проникать и атаковать компьютерные сети противника. Это относительно небольшая команда, входящая в более крупное digital-подразделение, насчитывающая около 80-100 человек. Все кибероперации планируются здесь, в штаб-квартире AIVD в голландском городке Зутермеер (Zoetermeer). Часть подразделения сосредоточена на перехвате или управлении объектами атаки, в то время как другая команда занимается защитой своих компьютерных рубежей. В свою очередь, эта группа входит в состав Объединенной кибер-группы SIGINT, совместной группы AIVD и Службы военной разведки и безопасности Нидерландов (MIVD), насчитывающей около 300 человек.
Американцам пока не было известно, какую именно информацию хакеры из AVID получают о русских, но ясно, что в ней есть подсказка о местонахождении одной из самых известных хакерских групп в мире: Cosy Bear, также называемой APT29. С 2010 года эта группа нападает на правительства, энергетические корпорации и телекоммуникационные компании по всему миру, включая голландские компании и министерства. Специалисты из лучших разведывательных служб, в том числе британцы, израильтяне и американцы, годами охотились на Cozy Bear, как и аналитики из крупнейших компаний по кибербезопасности. Американцам становится очевидно насколько ценный приз попал в руки голландцев.
Атака голландцев
Голландская хакерская команда проводит несколько недель, готовясь к боевой операции на сеть университета в Москве. Летом 2014 года, скорее всего незадолго до трагического крушения рейса MH17, происходит сама атака. С некоторыми усилиями и терпением команде атакующих удается проникнуть во внутреннюю компьютерную сеть. Устанавливается скрытый бэкдор и теперь AIVD может отслеживать каждый шаг российских хакеров. Но это еще не все.
Хакеры из Cozy Bear находятся в одном из зданий университета возле Красной площади. Состав группы варьируется, обычно активны около десяти человек. Вход в комнату находится в изогнутом коридоре. Камера наблюдения на стене фиксирует, кто входит и выходит из комнаты. AIVD удается получить доступ и к этой камере тоже. Теперь спецслужбы могут не только видеть, что делают русские, но и узнать, кто это делает. Фотографии фиксируют лицо каждого посетителя таинственного офиса.
Эпическая битва
Очень скоро усилия голландцев окупится. В ноябре русские готовятся к нападению на одну из своих главных целей: Американский Госдепартамент (аналог Министерства иностранных дел). К настоящему времени они уже получили адреса электронной почты и учетные данные нескольких государственных служащих. Им удается войти в неклассифицированную часть компьютерной сети госучреждения.
Босс AIVD и его военный коллега из MIVD информируют представителя АНБ в американском посольстве в Гааге. Тот немедленно предупреждает остальные американские спецслужбы: ФБР и ЦРУ.
Далее следует тихая, но не менее опасная битва между нападающими, которые пытаются проникнуть в Государственный департамент, и его защитниками, командами ФБР и АНБ - с подсказками и разведданными, предоставленными голландцами. Эта битва длится 24 часа, сообщают американские СМИ.
Русские действуют крайне агрессивно, но не знают, что за ними следят. Благодаря голландскому бэкдору, АНБ и ФБР способны противостоять врагу, действующему с огромной скоростью. Данные от голландской разведки настолько важны, что АНБ открывает прямую защищенную линию с Зутермиром, чтобы обмен информацией происходил как можно быстрее.
Туда-сюда
Используя так называемые серверы управления и контроля, русские пытаются установить соединение со шпионским модулем , установленным в сети Госдепартамента, чтобы через него запрашивать и передавать информацию. Голландцы сообщили коллегам DNS адреса серверов, после чего те быстро отключали им доступ в мировую паутину. Но каждый раз русские снова возобновляли атаку с новых серверов. Стороны с переменным успехом одерживали перевес друг на другом. Борьба шла в течение 24 часов. Впоследствии источники в CNN сообщили, что это была «самая ужасная хакерская атака» на американское правительство. Департамент должен был отключить доступ к системе электронной почте для своих сотрудников на все выходные, чтобы повысить безопасность.
«К счастью, АНБ смог выяснить средства и тактику атакующих» - заявил заместитель директора АНБ Ричард Леджетт на дискуссионном форуме в Аспене в марте 2017 года. «Мы могли видеть, как они меняли свои методы. Это очень полезная информация». В конце концов, американцам удается отбить русских от Госдепартамента, однако те все же успевают отправить фишинговое письмо одному из сотрудников Белого дома, пока не утратили доступ к сети.
Фейковое письмо
Сотрудник Белого дома думает, что получил электронное письмо от своего коллеги из Госдепартамента - адрес электронной почты совпадает - и он щелкает ссылку в сообщении. По этой ссылке открывается поддельный веб-сайт, копия сайта Белого дома. Сотрудник вводит свои учетные данные, которые теперь получают россияне. Так русские хакеры проникают в Белый дом.
Они также получают доступ к почтовым серверам, содержащим отправленные и полученные электронные письма президента Барака Обамы, но все еще не могут проникнуть на серверы, которые контролируют трафик из личного BlackBerry президента, который хранит государственные секреты. Однако им удается получить доступ к почтовому трафику посольств и дипломатов, повесток дня, заметок о политике и законодательстве. И опять же, голландские спецслужбы предупреждают американцев об этом.
Золотая жила
Доступ к внутренней сети Cozy Bear оказывается золотой жилой для голландских хакеров. В течение нескольких лет он предоставляет им ценные сведения о целях, методах и интересах высших должностных лиц российской службы безопасности. На основе фотографий посетителей офиса, AIVD делает вывод, что хакерскую группу возглавляют офицеры российской Службы внешней разведки (СВР)
Это и есть та причина, по которой многие российские чиновники, включая президента Путина, используют секретные службы для получения важной информации - пишет AIVD в своем ежегодном отчете в 2014 году. Недавно глава AIVD Роб Бертоле заявил в голландской телевизионной программе CollegeTour, что «нет сомнений», что Кремль стоит за российской хакерской деятельностью.
Не подготовились (
Атака русских застала нас врасплох, говорит Крис Пейнтер из Вашингтона. В последние годы он отвечал за киберполитику Америки. Пейнтер подал в отставку в августе прошлого года. «Мы никогда не ожидали, что русские сделают это, нападая на нашу жизненно важную инфраструктуру и подрывая нашу демократию».
Конечно, слова бывшего чиновника выглядят довольно наивно. Армия США одна из первых создала кибер подразделения для защиты своих важных сетей, а регулярные атаки китайских, северокорейских и иранских хакеров держат американских спецов в постоянном тонусе. Ожидали ли они атаки от русских? Возможно и нет. Но это не значит, что они не ожидали атаки от кого-либо другого. В конце концов, на кибер войне стороны не размахивают своим флагом и ты никогда не можешь 100% быть уверенным кто тебя атакует, если, конечно же, у тебя нет инсайда. - Прим.переводчика
Итак, американские спецслужбы не были готовы к атаке. Это одна из причин, по которой голландский доступ был так высоко оценен. Источники сообщают, что американцы даже отправляли «торт и цветы» в Зутермеер. И не только это. Разведданные являются ценным товаром: их можно обменять. В 2016 году главы AIVD и MIVD - Роб Бертоли и Питер Биндт лично обсуждали с Джеймсом Клэппером, тогда самым высокопоставленным должностным лицом американских спецслужб, и Майклом Роджерсом, главой АНБ, что они получат в обмен на доступ к российской хакерской группе Cosy Bear.
Взамен голландцы получили ценные знания и разведтехнологии. По данным одного американского источника, в конце 2015 года хакерам из АНБ удалось проникнуть на мобильные устройства нескольких высокопоставленных российских разведчиков. Они узнали, что прямо перед хакерской атакой на Госдепартамент те искали в Интернете какие-либо новости о технических возможностях для проведения своей атаки. По мнению американцев, это косвенно доказывает, что российское правительство причастно к взлому. Другой источник говорит, что «весьма вероятно», что в обмен на свои разведданные голландцы получили доступ к «очень специфичной» информации. Был ли обмен информацией по крушению самолета MH17, неизвестно.
Последствия
Последствия атак российских хакеров, особенно нападение на сервера Демократической партии, оказались далеко идущими. Более того, расследование ФБР относительно российского вмешательства имеет и политическое значение. После поражения в ноябре 2016 года Хиллари Клинтон скажет, что инцидент с ее утекшими электронными письмами - это то, что стоило ей президентства. Избранный президент Дональд Трамп категорически отказывается прямо признавать российское вмешательство. Это бросило бы тень на его победу на выборах. Он также часто хвалил Россию и президента Путина в частности. Это одна из причин, по которой американские спецслужбы охотно сливают информацию в СМИ: доказать, что русские действительно вмешивались в выборы. И именно в этих сливах упоминается удивительная помощь от «западного союзника»
Публикация этих подробностей привела к гневу в Зутермире и Гааге. Шпионские дела, как и деньги, не любят шумихи. Некоторые голландские политики заявили, что чувствуют себя преданными американцами. В закрытом мире разведслужб абсолютно недопустимо раскрывать методы дружественной разведки, особенно, если чья-то сторона извлекает выгоду из своей информации. Но как бы ни страстно не выражали свое недовольство руководители AIVD и MIVD, американцы их не понимают. Теперь AIVD и MIVD намного более осторожны, когда дело доходит до обмена разведданными.
Хакеров AIVD больше нет в компьютерной сети Cozy Bear. Голландский бэкдор просуществовал, по крайней мере, от 1 до 2,5 лет, снабжая западные спецслужбы ценнейшим разведматериалом.
Источник: De Volkskrant (англ.)